Informacje o tym, co się dzieje w firmie, trzeba chronić przed niepowołanymi. Nie oznacza to jednak, że wszystko można utajnić. Definicję tajemnicy przedsiębiorstwa zawiera art. 11 ust. 4 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=C3DC0BB5DF4D8752B7F0BDFE5F5F72D4?id=170546]ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jedn. DzU 2003 r. nr 153, poz. 1503 ze zm.)[/link]. Zgodnie z nią: „Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”.
A zatem, [b]jeśli jakieś informacje mają podlegać ochronie jako tajemnice firmy, należy stworzyć warunki uniemożliwiające zdobycie ich przez osoby trzecie[/b] bez specjalnych starań.
[srodtytul]Decyduje właściciel[/srodtytul]
O tym, które informacje staną się tajemnicą, decyduje sam przedsiębiorca. Bez jego woli, choćby dorozumianej, informacja może nawet pozostać nieznana innym, ale nie będzie tajemnicą.
Nie można utajniać dowolnie. Musi istnieć uzasadnione przypuszczenie, że informacja nie była jeszcze publicznie znana oraz że może być uznana za poufną w świetle zwyczajów i praktyki danej branży lub zawodu. Trzeba też mieć pewność, że ujawnienie informacji mogłoby w realny sposób zagrażać ekonomicznemu interesowi przedsiębiorcy lub klienta.
Tajemnicą przedsiębiorstwa nie będzie informacja, którą da się uzyskać w zwykły i zgodny z prawem sposób, np. czytając specjalistyczne pisma czy oglądając towar wystawiony na widok publiczny [b](patrz wyrok Sądu Najwyższego z 9 maja 2001 r. I CKN 1159/00, OSNC 2001/5/67)[/b].
Warto też pamiętać, że:
- tajemnicą nie mogą być informacje o nielegalnych sposobach prowadzenia działalności gospodarczej,
- wolno ujawnić poufną informację, jeśli działa się w interesie publicznym, np. powiadamiając o szkodliwości produktu dla zdrowia lub życia,
- można kupić towar i poznawać jego skład i budowę w wyniku badań i analiz (art. 11 ust. 1 i 4 ustawy o zwalczaniu nieuczciwej konkurencji).
[srodtytul]Działaj uczciwie[/srodtytul]
Naruszenie zasad ochrony tajemnicy przedsiębiorstwa stanowi czyn nieuczciwej konkurencji. A przedsiębiorca, jak mówi art. 17 ustawy o swobodzie działalności gospodarczej, jest zobowiązany wykonywać działalność gospodarczą na zasadach uczciwej konkurencji i poszanowania dobrych obyczajów oraz słusznych interesów konsumentów.
Jakie zatem działania dotyczące tajemnicy przedsiębiorstwa uznane zostaną za czyn nieuczciwej konkurencji? Mówi o tym art. 11 ust. 1 ustawy. Jest to:
- przekazanie (nawet nieumyślnie, w wyniku lekkomyślności lub zaniedbania),
- ujawnienie (także chwilowe, nieumyślne, nawet jeśli nie było możliwe utrwalenie ujawnionej informacji),
- wykorzystanie (faktyczne użycie informacji objętych tajemnicą we własnej praktyce przemysłowej, handlowej, marketingowej, nawet jeśli zostały uzyskane przypadkowo),
- nabycie od osoby nieuprawnionej (np. na podstawie umowy sprzedaży, darowizny, wniesienia know-how w formie aportu do spółki) – jeśli zagraża to interesowi przedsiębiorcy lub go narusza.
[b]Ustawa o zwalczaniu nieuczciwej konkurencji każe zachować w tajemnicy poufną informację także osobie, która świadczyła pracę na podstawie stosunku pracy [/b]lub innego stosunku prawnego, przez okres trzech lat od jego ustania, chyba że umowa stanowi inaczej lub ustał stan tajemnicy (art. 11 ust. 2). Pracodawca może zamieścić stosowne zapisy w umowie. Zakaz może obowiązywać dłużej niż trzy lata, pod warunkiem, że tajemnica nie zostanie wcześniej ujawniona.
[srodtytul]Jak ograniczyć ryzyko[/srodtytul]
Musimy po pierwsze ocenić i zdefiniować zakres informacji, które są kluczowe i mają być szczególnie chronione. Powinniśmy też zanalizować poszczególne informacje pod kątem prawnym, tzn. czy mogą one być chronione jako tajemnica przedsiębiorstwa (definicja w art. 11 ustawy o zwalczaniu nieuczciwej konkurencji), czy są to dane osobowe (np. według ustawy o ochronie danych osobowych), czy jest to informacja chroniona innymi przepisami (prawo patentowe, informacje niejawne).
Kolejny krok to wprowadzenie opartej na przepisach prawa regulacji wewnętrznej (regulamin, procedura) określającej m.in. wykaz chronionych informacji, sposób ich ochrony, stosowane zabezpieczenia (fizyczne, teleinformatyczne, osobowe), zakres obowiązków pracowników przetwarzających chronione dane, sposób reagowania na niebezpieczne incydenty oraz odpowiedzialność pracowników za zachowanie tajemnic firmy (zobowiązanie do zachowania tajemnicy przedsiębiorstwa). Z dokumentem tym trzeba zapoznać wszystkich pracowników.
Powinniśmy też określić listę pracowników (stanowisk), których wiedza jest kluczowa dla działalności firmy (kadra zarządzająca, menedżerowie średniego szczebla, informatycy). Z tymi osobami zawrzyjmy umowy o zakazie konkurencji w czasie trwania stosunku pracy, ewentualnie obejmujące także okres po jej zakończeniu.
[b]Warto też prowadzić cykliczne szkolenia na temat zagrożeń i zasad ochrony informacji biznesowych w firmie (zwłaszcza wśród nowych pracowników)[/b], przeprowadzać okresowy audyt obowiązujących procedur i udoskonalać je (na podstawie OchronaInformacji.pl).
[ramka][b]Gdy brak procedur, mogą być straty [/b]
[b]Artur Kostowski, ekspert bezpieczeństwa informacji w firmie OchronaInformacji.pl[/b]
Przedsiębiorcy, zwłaszcza mali i średni, nie przywiązują należytej wagi do zabezpieczenia poufnych informacji biznesowych. Nie są świadomi, że ich utrata przyniesie firmie realne straty finansowe. Nie wiedzą, że informacja jest towarem, którym się handluje, często za duże pieniądze. I nie chodzi tylko o działania hakerów w sieciach, ale głównie o wywiad gospodarczy. Łatwo oszacować straty wynikające z kradzieży składników materialnych (samochodu, sprzętu), ale trudniej wykryć i ocenić straty spowodowane kradzieżą informacji, np. o kontrahentach, metodach zarządzania i organizacji przedsiębiorstwa, o planach biznesowych, stosowanych upustach. Dla wielu kradzież laptopa to tylko strata kilku tysięcy złotych, tymczasem dla konkurencji dane z twardego dysku mogą być warte setki tysięcy. Skutecznego zabezpieczenia informacji biznesowych nie ułatwia prawo, które problematykę tę traktuje w sposób wybiórczy i rozproszony.
Najczęstszym uchybieniem przedsiębiorców jest brak procedur zabezpieczania informacji. Pracownicy nie wiedzą, jak reagować na kradzież lub zagubienie dokumentów. Nie sprawdza się, czy osoby na wypowiedzeniu nie kopiują danych z komputerów. Wydruki próbne zawierające strategie i biznesplany, zamiast w niszczarce lądują w koszu. Nie prowadzi się szkoleń na temat możliwych zagrożeń.[/ramka]
